Storage im Mittelstand: Wie Technik und Recht Hand in Hand gehen

Gespeicherte Daten sind ein wichtiger Teil des Betriebskapitals eines Unternehmens – und der Datenbestand wächst beständig. Administratoren stehen also vor der Herausforderung, dem immensen Bedarf nach Speicherkapazität zu begegnen und hochverfügbare Storage-Lösungen bereitzustellen. Hinzu kommen die rechtlichen Anforderungen: Was muss man speichern, wie muss man es speichern, was soll man speichern, was darf man aus Datenschutzgründen nicht speichern?

Da die IT-Budgets trotz dieser umfangreichen Anforderungen an eine Storage-Lösung aber tendenziell gleich bleiben oder gar sinken, spielen zusätzlich die Kosten eine große Rolle. Die Lösung: effiziente Speicherkonsolidierung. Der folgende Beitrag gibt Unternehmen einen groben Leitfaden für die Durchführung eines typischen, rechtskonformen Projektes zur Speicherkonsolidierung im Mittelstand an die Hand.

Die Ausgangssituation

Ein mittelständisches Unternehmen setzt derzeit typischerweise auf die klassische Variante eines Speichernetzes, nämlich Direct Attached Storage (DAS). Hier hat jeder Server – in der Regel im gleichem Servergehäuse – Festplatten, die exklusiv und ausschließlich ihm zur Verfügung stehen. Die Vorteile von DAS-Lösungen liegen in den meist niedrigen Anschaffungskosten und der einfachen Implementierung.

Allerdings ist ihre Auslastung ineffizient, da andere Server von freien Festplattenkapazitäten nicht profitieren können. Außerdem sind Erweiterungen aufwändig, bedürfen eines mehrstündigen Wartungsfensters und erzeugen erhebliche Unterhaltskosten. Aber auch mittelständische Unternehmen sind sehr sensibel hinsichtlich der Wartungsfenster bei produktionsrelevanten Applikationen wie der Lagerverwaltung.

Rechtssicherheit ist Chefsache

Vielfach wird verkannt, dass die Organisation (nicht aber die Umsetzung) von IT-Sicherheit – und hierzu gehört auch ein zukunftsfähiges Speicherkonzept – in den Verantwortungsbereich der Geschäftsleitung fällt. Praktisch kein Unternehmen kann sich heutzutage noch einen Ausfall seiner IT-Systeme, den Verlust oder die Nichtverfügbarkeit von Daten erlauben. Daten sind das Kapital jedes Unternehmens. Nach Paragraf 91, Absatz 2 Aktiengesetz muss der Vorstand „geeignete Maßnahmen treffen (…), damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden.“

Er muss mit einem Wort Risikomanagement betreiben, was die IT und insbesondere den Schutz der unternehmenskritischen Daten einschließt. Wenn Vorstandsmitglieder diese ihnen obliegende Pflicht verletzen, haften sie der Gesellschaft persönlich auf den Ersatz eines etwa entstehenden Schadens. Das trifft nicht nur für Vorstände in Aktiengesellschaften, sondern auch auf GmbH-Geschäftsführer zu.

Dabei gilt: Die Nichtverfügbarkeit von unternehmenskritischen Daten (ob wichtige Daten aus Forschung und Entwicklung oder schlicht die Bereitstellung des korrekten Lagerbestandes im ERP-System) wird sehr schnell sehr teuer. Auch wenn die Geschäftsleitung sich meist lieber dem Kerngeschäft als der IT widmet sollten auch im eigenen Interesse die Anregungen des IT-Leiters ernst genommen werden.

Die Anforderungen auf einen Blick

Unabhängig von Technologie und Hersteller muss eine Speicherkonsolidierung investitionssicher und kostengünstig sein, vor allem aber mittelfristig auch Kosten einsparen. Sie muss flexibel und skalierbar sein, die Komplexität der IT reduzieren, die Ausfallsicherheit und Verfügbarkeit erhöhen, Wartungsfenster reduzieren sowie mit Backup-Lösungen kombinierbar sein.

Darüber hinaus muss sie die rechtliche Anforderung erfüllen: Im Bereich der Datenspeicherung muss jedes Unternehmen klären, welche Daten es wie lange speichern muss und darf. Steuerlich relevante Daten etwa müssen über einen Zeitraum von sechs bis zehn Jahren in unveränderbarer Form und jederzeit leicht zugänglich gespeichert werden. Auch muss auf die strukturierte Speicherung geachtet werden – bei einer digitalen Betriebsprüfung soll der Prüfer nur die Daten einsehen können, die seinem Prüfungsauftrag entsprechen. Kann das Unternehmen ihm diese nicht getrennt zur Verfügung stellen, wird der Prüfer mehr sehen als erforderlich – mit allen dadurch möglichen Folgen.

Hinzu kommen von Branche zu Branche variierende Anforderungen: Ein Rechtsanwalt muss seine (digitalen) Handakten für die Dauer von fünf Jahren aufbewahren. Bei Ärzten gelten vielfach weit längere Fristen. Aufzeichnungen über Röntgenbehandlungen beispielsweise sind 30 Jahre nach der letzten Behandlung aufzubewahren. Und dass ein Versicherer die Daten langfristiger Verträge gegebenenfalls auch nach 40 Jahren noch verfügbar haben muss, versteht sich von selbst.

All dies zeigt: Die Frage der richtigen Speichertechnik will wohl überlegt sein. Aus rechtlicher Sicht empfiehlt sich, falls das Unternehmen nicht über eine hochspezialisierte IT-Abteilung verfügt, die Einschaltung geeigneter Fachberater. Dadurch dokumentiert die Geschäftsleitung, dass sie dem Thema die gebotene Aufmerksamkeit geschenkt hat.

Technische Realisierung einer Speicherkonsolidierung

In Falle eines mittelständischen Unternehmens kommt eine SAN-Lösung zum Einsatz; SAN-Lösungen (Storage Area Networks) stellen Speicher für alle Server zur Verfügung, da sie statt einzelner Files Block-basiert arbeiten und nicht – wie NAS-Technologien (Network Attached Storage) – filebasiert vorgehen. Als Protokoll eignet sich speziell für den Einsatz im Mittelstand das iSCSI-Protokoll optimal: Es ist ein einfach zu implementierendes Protokoll und bereits vorhandenes Netzwerkequipment kann prinzipiell verwendet werden. Darüber hinaus genügen in der Regel fundierte Netzwerkkenntnisse.

Der Einsatz von iSCSI erzwingt zwar keine Separierung des SAN. Mittelständler sollten aber zumindest auf eine Abtrennung des SAN-Netzes setzen – gegebenenfalls genügt auch eine virtuelle Separierung, je nach Leistungsfähigkeit des Netzwerkes. Weiterhin ist der Einsatz von Netzwerkkarten mit TCP Offload Engine (TOE) sinnvoll, da sie die Serverprozessoren entlasten. Die Festplattentechnologie – hochperformante SAS- (Serial-Attached-SCSI) oder kostengünstige S-ATA-Platten – richtet sich nach der Wertigkeit der zu speichernden Daten In der Praxis kommen oftmals beide Typen parallel zum Einsatz.

Optimale Sicherheit bietet ein RAID-6-Konstrukt, das aus mindestens vier Festplatten besteht. Der Vorteil: Dabei können bis zu zwei Platten gleichzeitig ausfallen, ohne dass Daten verloren gehen. Um Files oder auch den kompletten Datenbestande wiederherzustellen, muss Speicherplatz für sogenannte Snapshots eingeräumt werden, die eine anwendungskonsistente Momentaufnahme des Filesystems darstellen. Des weiteren sollte das ausgewählte Storagesystem über redundante Controller und Netzteile verfügen.

Da sich mit der Speicherkonsolidierung alle Daten in einem einzigen Storagesystem befinden, sollte als 1:1-Backup ein Redundanzsystem eingeplant werden. Dieses ist unbedingt in einem getrennten Brandabschnitt oder sogar einem separaten Gebäude unterzubringen.

Beispiellösung für ein mittelständisches Unternehmen

Anhand der oben beschriebenen Speicherverfahren, Protokolle, Features und so weiter kann ein IP-Storage-Startsystem für ein mittelständisches Unternehmen folgendermaßen aussehen:

Technisch und rechtlich auf der sicheren Seite

Die technisch und rechtlich ‚richtige‘ Datensicherung ist für die Existenz von mittelständischen Unternehmen elementar. Die Speicherkonsolidierung bietet gegenüber herkömmlichen Verfahren viele Vorteile, etwa die Reduzierung der benötigten Festplatten sowie eine erhöhte I/O-Geschwindigkeit durch die Parallelschaltung mehrerer Disks. Ebenfalls einfacher wird die Bereitstellung von zusätzlichem Speicher – angesichts des steigenden Datenvolumens ein wichtiger Aspekt; zumal uns das Jahr 2011 gelehrt hat, dass Speichervolumen keineswegs immer billiger werden muss.

Aus rechtlicher Sicht muss die Datensicherheit (Systemredundanz) und Datenverfügbarkeit höchste Priorität haben. Das Thema Storage hat längst die Nische der lästigen Technikfragen verlassen und ist zu einem unternehmenskritischen Aspekt geworden, der von der Geschäftsleitung beachtet und überwacht werden muss.

Checkliste: Anforderungen an die Speicherkonsolidierung

Es folgt ein grobe Checkliste, mit der mittelständische Unetrnehmen die Anforderungen an die Konsolidierung ihrer Speicherressourcen überprüfen könnnen. Aspekte der Virtualisierung wurden dabei zunächst außen vor gelassen.

• Technische Überlegungen
• Flexibilität und Skalierbarkeit: Kapazitäten für den aktuellen Bedarf und entsprechend des prognostizierten Datenwachstums eine Planungsreserve für zwei bis drei Jahre
• Investitionssicher und kostengünstig: Finanzielle Skalierbarkeit, das heißt möglichst niedriger Basis-Invest und anschließendes „Pay as you grow“-Prinzip
• Ausfallsicherheit und hohe Verfügbarkeit. 1. Hohe Systemredundanz. 2. Das Storagesystem muss Replikation unterstützen, das heißt ein zweites System sollte in einem abgetrennten Bereich verfügbar sein (getrennter Brandabschnitt, Gebäude oder Katastrophenabschnitt in mindestens zehn Kilometer Entfernung).
• Reduzierung und weitgehende Eliminierung von Wartungsfenstern: Alle erforderlichen Service-, Konfigurations- und Erweiterungsarbeiten sollen unterbrechungsfrei durchgeführt werden können.
• Einfach zu implementieren und zu betreiben:
• einfache Administration
• einfache Einbindung in ein System-/Netzwerkmanagement, zum Beispiel via SNMP
• aussagekräftige Statistiken (über Auslastung, Festplattenzustand, Controllerauslastung)
• Kombination mit Backuplösung:
  • Sicherung wichtiger Daten entsprechend der Aufbewahrungsfristen
  • Auslagerung auf Bänder
  • Revisionssichere Aufbewahrung

• Rechtliche Vorüberlegungen
• Über welche Art von Daten verfügt das Unternehmen?
  • steuerlich relevante Daten
  • unternehmenskritische Daten
  • dem Datenschutz unterliegende Daten
  • Sonstige Daten
• Wo sind diese Daten (derzeit) gespeichert; wer speichert diese Daten?
• Wie lange müssen / dürfen die jeweiligen Daten gespeichert werden?
• Gibt es Vorschriften, wo (Inland/Ausland; EU/sonstige Länder) die Daten gespeichert werden müssen/dürfen?
• Wann müssen Daten gelöscht werden?
• Wer darf auf die jeweiligen Daten zugreifen?
• Gibt es besondere Anforderungen an die Art der Datenspeicherung (zum Beispiel GOB, GDPdU)?
• Gibt es besondere Geheimhaltungspflichten (zum Beispiel Patientendaten)?
AUTOR

Franz Appel und Christian Wilser ...

... sind die Autoren dieses Gastbeitrags für ZDNet. Franz Appel zeichnet als Produktmanager bei D-Link Deutschland für den technsichen Part verantwortlich. Christian Wilser hat als Rechtsanwalt und Managing Partner bei PRW Rechtsanwälte die rechtlichen Aspekte beigesteuert.